Parcel Bundle漏洞学习

最新推荐文章于 2024-06-24 10:54:10 发布
最新推荐文章于 2024-06-24 10:54:10 发布
阅读量644 收藏
点赞数
文章标签: android Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aaajj/article/details/129467845
版权
文章介绍了Android中Bundle序列化过程中的一个安全漏洞,由于Parcel在写入和读取时的不严格对应,恶意构造的Bundle可以导致数据错位,从而绕过权限检查。举例说明了如何利用此类漏洞,并强调了规范使用Parcel的重要性,防止类似的安全问题发生。
摘要由CSDN通过智能技术生成

Bundle的序列化细节看上去还是有些复杂的,在之前已经讨论过,一般我们使用Parcel的时候,都是严格的write和read相对应。一些疏漏,不对应,竟然就可以成为漏洞,

https://xz.aliyun.com/t/2364 里介绍了Bundle漏洞的情况,详情可以去查看,

这里补充一些理解,

引用里面的原理图,

Bundle可以存储map键值对,存储 key-value数量 key1 value1 key2 value2 ...

根据key-value数量来控制读的次数,来进行反序列化。

  1. 当恶意bundle中存的data有<key, intent>

  1. 第一个key-value存储的是有bug的对象,这里是PeriodicAdvertisingReport

@Override
    public void writeToParcel(Parcel dest, int flags) {
        dest.writeInt(syncHandle);
        dest.writeLong(txPower);
        dest.writeInt(rssi);
        dest.writeInt(dataStatus);
        if (data != null) {
            dest.writeInt(1);
            dest.writeByteArray(data.getBytes());
        } else {
            dest.writeInt(0);
        }
    }
    private void readFromParcel(Parcel in) {
        syncHandle = in.readInt();
        txPower = in.readInt();
        rssi = in.readInt();
        dataStatus = in.readInt();
        if (in.readInt() == 1) {
            data = ScanRecord.parseFromBytes(in.createByteArray());
        }
    }

txPower的读写类型不一致,会造成错位。

系统中的这样有漏洞的Parcelable对象会被这样利用起来作为错位工具。

  1. 构造恶意Bundle,使用了特意的组装,而不是调用Parcelable对象里定义的构造方法。

        pcelData.writeString("mismatch");
        pcelData.writeInt(4); // VAL_PACELABLE
        pcelData.writeString("android.bluetooth.le.PeriodicAdvertisingReport"); // name of Class Loader
        pcelData.writeInt(1);//syncHandle
        pcelData.writeInt(1);//txPower
        pcelData.writeInt(1);//rssi
        pcelData.writeInt(1);//dataStatus
        pcelData.writeInt(1);// flag for data

就这样,错位后的结构中,原内容里的 <key, intent>数据 就冒充了Bundle中的第2个键值对来进行使用。

<key, intent>逃脱了权限检查。

如同这样一个命令字串,

  1. aaaabb'2.cccc

  1. dddd

第一条数据是aaaabb'2.cccc

第二条数据是dddd

当解析错位,以为2.cccc 是第二行,就会以为第二条数据是cccc

这个和sql注入有些相似。

一些不经意的漏洞,就会被别有用心的人利用,甚至做出更加卑劣的行为。

这里可以看出,Parce的读写要规范,不遵守规范,各种机缘巧合或者机关算尽下,就会出现匪夷所思的问题,如下面这个汽车上树。

参考资料

https://xz.aliyun.com/t/2364

https://blog.csdn.net/u010206565/article/details/129020951

aaajj
关注
MismatchParcel:Android序列化反序列化不匹配导致的一个安全问题的解析
05-13
Android中的序列化反序列化不匹配导致的漏洞解析 本文仅供安全技术交流,请勿用于不正当的用途,造成的一切后果与本文作者无关. 0x00 前言 上一次提到了这个漏洞,其中提到了修补方案,就是去验证intent指向的app和appB是不是有相同签名的,这里有这样一段: if (result != null + && (intent = result.getParcelable(AccountManager.KEY_INTENT)) != null) { + /* + * The Authenticator API allows third party authenticators to + * supply arbitrary intents to other
再谈Parcelable反序列化漏洞Bundle mismatch
键盘的起始页
06-15 362
近期在做Parcelable反序列化和Bundle mismatch方面的研究,在这个过程中有很多需要记录的内容,有些也是网络上相关文章没有提到的一些细节,并且由于aliyun上那篇最经典的原始文章链接失效,所以决定写一篇文章记录这种漏洞。由于Google官方在Android 13中的修改,这类漏洞即将退出历史舞台了,所以也用这篇文章作为纪念吧。
Parcel , Parcelable, Bundle,
hjshen1970的专栏
10-30 393
Parcel:  存放可parcel的容器,提供接口读写 1。 基本的类型和基本类型的数组 2。Parcelable和Parcelable的数组 3。BundleBundle本身实现了Parcelable接口) (Bundle中value必须为可写入到Parcel中) 4。Active Object:For these objects the actual contents of
Bundle 风水 - Android Parcel 序列化与反序列化不匹配系列漏洞
stven_king的专栏
04-25 720
Bundle 风水(Bundle Fengshui)是指在 Android 应用开发中,使用 Bundle 类传递数据时,需要注意一些优化技巧,以避免在传递数据过程中出现性能问题。
Bundle的Parcel化处理
aaajj的专栏
01-21 1894
Android中,使用Intent通过binder在不同进程间传送数据是很方便和通用的,Intent保持数据主要是通过Bundle来存储较多的数据。调用writeParcelableCreator,把类名信息保存起来,所以在恢复对象的时候,可以知道是什么类,Bundle中通过map来存储键值对,所以上面的例子中,使用key值来进行查找,就可以获取到value对象。Bundle的Parcel化读写比较复杂,细节较多,这里看一下大致过程,序列化的过程就是这样,再看看反序列化的关键点,调用到Bundle里。
CVE-2014-7911 Android 反序列化漏洞分析
Venscor技术养成之路
02-19 3527
网上对于此漏洞的分析已经很多了,由于这个漏洞设计了很多底层的知识,很值得学习。总算耐着性子把这个漏洞分析了一下,文章主要记录自己的分析过程。
安卓pwn - De1taCTF(BroadcastTest)
热门推荐
whklhhhh的博客
05-05 2万+
BroadcastTest 背景 逆向APK可知程序中仅有MainActivity$Message和三个Receiver类。 前者实现了一个Parcelable类,后三个则是广播。 其中Receiver1是export的,接收并向Receiver2发送广播,Receiver2和3则非export,只能接收内部发送的广播。 功能为Receiver1接收base64传入的data,然后将其反序列化得到...
Python WEB开发实战课程-从入门到精通-全面学习大前端技术
# 1. Python WEB开发入门 ## 1.1 Python基础知识回顾 Python作为一种广泛应用于WEB开发的编程语言,具有简洁明了的语法和丰富的库,让开发者可以高效完成各种任务。在本节中,我们将回顾Python的一些基础知识,...
android app渗透测试-Activity、Service
LJFYYJ的博客
08-02 1934
android Activity、Service的部分攻击面介绍;通过aidl接口调用解题的CTF实例
前端犄角旮旯,非常规面试题总结(不断更新....)
最新发布
qq_51398495的博客
06-24 930
27、判断类型的方式有哪些?1、typeof操作符:用来检测数据的类型,返回的是一个表示类型的字符串。2、instanceof操作符:用来检测对象是否为指定的构造函数的实例。3、方法:可以返回对象的准确类型。4、方法:用来判断一个变量是否为数组。(一)typeof和instanceof区别typeof返回的是一个字符串,表示变量的数据类型,可能的返回值有numberstringbooleanfunctionundefinedobject。instanceof返回的是一个布尔值,true或。
Android Parcelable反序列化漏洞分析与利用
道阻且长,行则将至。
11-27 4263
本文将分析系统那些实现了Android Parcelable的类,在序列化与反序列化过程中对变量的读写不匹配引发的反序列化漏洞,通过两个CVE漏洞的利用代码,学习该类漏洞的利用手法。
Parcelable和Bundle介绍
ai-exception的博客
04-11 1085
本文始发于github,由于文内部分链接使用的是相对路径,如果访问不到,请移步github项目内阅读即可正常访问。 原文(英文)地址 Parcelable和Bundle对象旨在跨进程使用,例如IPC / Binder事务,具有Intent的Activity之间,以及跨配置更改存储瞬态。此文档介绍有关使用Parcelable和Bundle对象的建议和最佳实践。 注意:Parcel不是通用的序列化机...
PDD后台窃取
colaobbl的博客
07-23 437
一般App只有untrusted_app权限,而有些则会有更高一些的权限system_app而Parcel Mismatch漏洞(机制稍微复杂一些但总体效果是可以控制某个system-app打开任意activity,进而达到3中的攻击效果)这里看不出来他的一些“骚”操作下面就来看看他的四个操作。
android解析蓝牙广播所携带的信息
zzx2436125的专栏
03-26 1万+
前言在可穿戴行业工作了两年,各种需求都碰到过,前段时间客户提出了一个要求蓝牙在广播的时候要携带一个特定的服务(UUID),只有携带了此服务(UUID)的蓝牙设备才能被搜索到。之前都是以设备名称进行过滤的,突然改了一种方式当然要进行新的技术了解啊。 解决历程因为是抓取蓝牙在广播的时候携带的信息,所以判断信息应该是在设备蓝牙被扫描到时可以抓取到信息,于是我们看扫描蓝牙的回调private Bluetoo
简要分析Android中的Intent,Bundle,Parcel中的数据传递
Programmer Training
06-19 2692
Intent是进程间通信的一种简要方式,其通讯数据可以存放在Bundle中,而在实际的进程间通讯过程中,数据则是打包成Parcel对象进行处理的.查看源代码后,简要分析一下其中的数据转换逻辑. 简单的逻辑就是:进程A----Data----Bundle----Intent----Parcel------进程B------Parcel----Intent----Bundle----Data(忽略了
Web 应用程序的十大安全漏洞
AI开源工具分享
02-14 997
2021 年 OWASP Top 10 列表列出了 10 个最危险的 Web 应用程序安全漏洞。如果我们将当前列表与 2017 年列表进行比较,我们可以看到列表中仍然存在一些安全漏洞,但位置不同,并且列表中还包含一些新的安全漏洞。下表比较了 2017 年和 2021 年的列表。(2021 年列表中引入的安全漏洞以粗体标出,其余的只是重新排列)
android入门之Bundle和Parcelables传递数据
蛐蛐的博客
05-24 478
文档:https://developer.android.com/guide/components/activities/parcelables-and-bundles https://developer.android.com/reference/android/os/Parcelable 1.简介 Parcelable和Bundle对象旨在用于活动之间以及跨配置更改存储状态。 Parcel不是通用的序列化机制,不应该将任何Parcel数据存储在磁盘上或通过网络发送。 2.活动间发送
android 数据传递详解(Serialization、Parcelable、Parcel、Intent、Bundle
heng615975867的专栏
11-14 4381
[android] Serializable 和 Parcelable 区别 android 中自定义的对象序列化的问题有两个选择一个是Parcelable,另外一个是Serializable。 一 序列化原因: 1.永久性保存对象,保存对象的字节序列到本地文件中; 2.通过序列化对象在网络中传递对象; 3.通过序列化在进程间传递对象。  二 至于选取哪种可参考
关于parcel的介绍
xuchuyan的专栏
03-23 5073
Bundle继承自BaseBundle,实现了Cloneable,Parcelable两个接口。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值